LDAP és Kerberos. Mezei Tamás Simonyi Károly Szakkollégium

Átírás

1 LDAP és Kerberos Mezei Tamás Simonyi Károly Szakkollégium

2 Célok sok számítógép még több felhasználó jónéhány szolgáltatás biztonságos autentikáció központosított felhasználókezelés címtár

3 Mire építjük fel a várat?

4 LDAP címtárhozzáférési protokoll lightweight directory access protocol változtatható backend hierarchikus adatbázis: szinte bármilyen információ tárolható benne, de címtárnak tervezték kis adatmennyiségek főként olvasás

5 Milyen céljaink is voltak? biztonság szerver-kliens architektúra ACL-ek titkosítás redundánssá tehető egyszerű kezelhetőség skálázhatóság elterjedtség

6 LDAP biztonság autentikáció titkosítás hozzáférés-korlátozás ACL akár attribútumokra, akár Kerberossal (GSSAPI) is SASL

7 Skálázhatóság cserélhető backend alapesetben: Berkeley DB, GDBM lehet még: SQL, shell, Perl hierarchikus kapcsolatok LDAP backend server-side sorting gyorsabb, mint a kliensoldali

8 Menedzselhetőség replikáció OpenLDAP: master-slave FDS/RDS, Sun LDAP: multimaster online/offline backup egyszerű konfiguráció plaintext fájlok (OpenLDAP) - offline adatbázison belül (FDS/RDS) - online

9 Támogatás nsswitch nss_ldap szinte minden platformra (Solaris, AIX, Linux, *BSD, HP-UX stb.) jónéhány program támogatja a címtárakat Sun Calendar Server Sympa Postfix, Exim, Sendmail PowerDNS

10 Miért ne használjunk LDAP-t? adminisztrációs nehézségek sémakezelés SSL cert kezelés Kerberos illesztés bonyolult parancssori konfiguráció

11 Az autentikációs probléma felhasználók és szolgáltatások ki vagy? mit akarsz? miért kérdezgetsz még mindig?

12 POAS plain old authenticaion system passwd/shadow/master.passwd fájlok sok rendszer, sok felhasználó, sok szolgáltatás NIS, NIS+, yp kényelmetlen és nem is biztonságos!

13 Kerberos az LDAP címtárrendszernek készült igazából nem autentikációs megoldás, de arra is használható a Kerberos pedig jelszókezelő rendszer volt Krb4, most Krb5 (biztonságosabb) jelszóosztályok hozzáférési módok titkosítás NFS, AFS, AD

14 A céljainkról mégegyszer biztonság pontosan ezért készült! ACL-ek egyszerű kezelhetőség megszokható nehézségű adminisztráció skálázhatóság elterjedtség

15 Elterjedtség, támogatás login PAM modulként a legegyszerűbb pam_krb5, de ennek használatához jónéhány programot újra kell forgatni jónéhány alkalmazás natív Kerberos támogatással NFS, LDAP

16 Pro és kontra megnövekedett biztonság több felhasználó és rendszer egyszerűbb kezelhetősége körülményesebb kezdeti rendszerbeállítás nem túl sok grafikus menedzsment eszköz commandline wizardok előnyben

17 Kerberos alapok

18 A Kerberos háromfejű kutya felhasználónév jelszó párosokat tárol adatbázis: kb. mint az /etc/shadow a jelszavak az esetek nagy részében nem utaznak a hálózaton a szerver a kulcsokat a felhasználó jelszavával titkosítja, mások ezt jelszó nélkül nem tudják visszafejteni

19 A Kerberos működése amikor a felhasználó autentikál, akkor ticket -et (jegy) kap korlátozott érvényességi idő hasznos NFS, IMAP stb. esetében a Kerberos autentikációs, és nem autorizációs rendszer! megmondja, hogy a felhasználó valóban X-e azt nem mondja meg, hogy az X felhasználó jogosult-e valamire a rendszerben

20 Alapfogalmak principal felhasználónév instance (role): principaltípus, szerepkört mutat meg realm adott Kerberos domain neve általában nagybetűs KDC, TGS, AS, TGT, ST, RS például:

21 Tranzakció 5+1 üzenet KRB_AS_REQ / REP KRB_TGS_REQ / REP KRB_AP_REQ / (REP) Lehetséges problémák?

22 LDAP alapok

23 Sémák objektumok attribútumainak leírására szolgál kötelező és opcionális attribútumok pl. posixaccount, posixgroup egy objektum többféle osztállyal (sémával) rendelkezhet pl. uid=ropi,ou=2003,dc=sch,dc=bme,dc=hu lehet posixaccount, inetorgperson is

24 Séma példa attributetype ( NAME ( 'uid' 'userid' ) DESC 'RFC1274: user identifier' EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX {256} ) objectclass ( NAME 'posixaccount' SUP top AUXILIARY DESC 'Abstraction of an account with POSIX attributes' MUST ( cn $ uid $ uidnumber $ gidnumber $ homedirectory ) MAY ( userpassword $ loginshell $ gecos $ description ) )

25 DN distinguished name egyedülálló név bottom-up, left-right címzés, mint egy webes URL uid=ropi,ou=2003,dc=sch,dc=bme,dc=hu cn=mezei Tamás,ou=2003,dc=sch,dc=bme,dc=hu hierarchikus fa-rendszer X.500 címzés (o,c) elterjedtebb: domain component (dc)

26 LDIF lightweight data interchange format dn és a hozzá tartozó attribútumok dn: uid=ropi,ou=2003,dc=sch,dc=bme,dc=hu objectclass: person objectclass: inetorgperson objectclass: posixaccount gecos: Mezei Tamás uid: 1000 gid: 1001

27 Egy kicsi demó... ha van érdeklődő, tartsunk nagyobb tervezési demót másfél-két órában! most csak alapdolgokra van idő és erő(m) ;-(

28 Köszönöm a figyelmet! Kérdések?